左耳听风
陈皓
网名“左耳朵耗子”,资深技术专家,骨灰级程序员
立即订阅
40357 人已学习
课程目录
已完结 108 讲
0/6登录后,你可以任选6讲全文学习。
开篇词 | 洞悉技术的本质,享受科技的乐趣
免费
01 | 程序员如何用技术变现(上)
02 | 程序员如何用技术变现(下)
03 | Equifax信息泄露始末
04 | 从Equifax信息泄露看数据安全
05 | 何为技术领导力?
06 | 如何才能拥有技术领导力?
07 | 推荐阅读:每个程序员都该知道的知识
08 | Go语言,Docker和新技术
09 | 答疑解惑:渴望、热情和选择
10 | 如何成为一个大家愿意追随的Leader?
11 | 程序中的错误处理:错误返回码和异常捕捉
12 | 程序中的错误处理:异步编程以及我的最佳实践
13 | 魔数 0x5f3759df
14 | 推荐阅读:机器学习101
15 | 时间管理:同扭曲时间的事儿抗争
16 | 时间管理:如何利用好自己的时间?
17 | 故障处理最佳实践:应对故障
18 | 故障处理最佳实践:故障改进
19 | 答疑解惑:我们应该能够识别的表象和本质
20 | Git协同工作流,你该怎么选?
21 | 分布式系统架构的冰与火
22 | 从亚马逊的实践,谈分布式系统的难点
23 | 分布式系统的技术栈
24 | 分布式系统关键技术:全栈监控
25 | 分布式系统关键技术:服务调度
26 | 分布式系统关键技术:流量与数据调度
27 | 洞悉PaaS平台的本质
28 | 推荐阅读:分布式系统架构经典资料
29 | 推荐阅读:分布式数据调度相关论文
30 | 编程范式游记(1)- 起源
31 | 编程范式游记(2)- 泛型编程
32 | 编程范式游记(3) - 类型系统和泛型的本质
33 | 编程范式游记(4)- 函数式编程
34 | 编程范式游记(5)- 修饰器模式
35 | 编程范式游记(6)- 面向对象编程
36 | 编程范式游记(7)- 基于原型的编程范式
37 | 编程范式游记(8)- Go 语言的委托模式
38 | 编程范式游记(9)- 编程的本质
39 | 编程范式游记(10)- 逻辑编程范式
40 | 编程范式游记(11)- 程序世界里的编程范式
41 | 弹力设计篇之“认识故障和弹力设计”
42 | 弹力设计篇之“隔离设计”
43 | 弹力设计篇之“异步通讯设计”
44 | 弹力设计篇之“幂等性设计”
45 | 弹力设计篇之“服务的状态”
46 | 弹力设计篇之“补偿事务”
47 | 弹力设计篇之“重试设计”
48 | 弹力设计篇之“熔断设计”
49 | 弹力设计篇之“限流设计”
50 | 弹力设计篇之“降级设计”
51 | 弹力设计篇之“弹力设计总结”
52 | 管理设计篇之“分布式锁”
53 | 管理设计篇之“配置中心”
54 | 管理设计篇之“边车模式”
55 | 管理设计篇之“服务网格”
56 | 管理设计篇之“网关模式”
57 | 管理设计篇之“部署升级策略”
58 | 性能设计篇之“缓存”
59 | 性能设计篇之“异步处理”
60 | 性能设计篇之“数据库扩展”
61 | 性能设计篇之“秒杀”
62 | 性能设计篇之“边缘计算”
63 | 区块链技术的本质
64 | 区块链技术细节:哈希算法
65 | 区块链技术细节:加密和挖矿
66 | 区块链技术细节:去中心化的共识机制
67 | 区块链技术细节:智能合约
68 | 区块链技术 - 传统金融和虚拟货币
69 | 程序员练级攻略:开篇词
70 | 程序员练级攻略:零基础启蒙
71 | 程序员练级攻略:正式入门
72 | 程序员练级攻略:程序员修养
73 | 程序员练级攻略:编程语言
74 | 程序员练级攻略:理论学科
75 | 程序员练级攻略:系统知识
76 | 程序员练级攻略:软件设计
77 | 程序员练级攻略:Linux系统、内存和网络
78 | 程序员练级攻略:异步I/O模型和Lock-Free编程
79 | 程序员练级攻略:Java底层知识
80 | 程序员练级攻略:数据库
81 | 程序员练级攻略:分布式架构入门
82 | 程序员练级攻略:分布式架构经典图书和论文
83 | 程序员练级攻略:分布式架构工程设计
84 | 程序员练级攻略:微服务
85 | 程序员练级攻略:容器化和自动化运维
86 | 程序员练级攻略:机器学习和人工智能
87 | 程序员练级攻略:前端基础和底层原理
88 | 程序员练级攻略:前端性能优化和框架
89 | 程序员练级攻略:UI/UX设计
90 | 程序员练级攻略:技术资源集散地
91 | 程序员面试攻略:面试前的准备
92 | 程序员面试攻略:面试中的技巧
93 | 程序员面试攻略:面试风格
94 | 程序员面试攻略:实力才是王中王
95 | 高效学习:端正学习态度
96 | 高效学习:源头、原理和知识地图
97 | 高效学习:深度,归纳和坚持实践
98 | 高效学习:如何学习和阅读代码
99 | 高效学习:面对枯燥和量大的知识
左耳听风
登录|注册

04 | 从Equifax信息泄露看数据安全

陈皓,杨爽 2017-10-10
上篇文章中,我们讲了 Equifax 信息泄露始末,并对造成此次事件的漏洞进行了分析。今天,我们就来回顾一下互联网时代的其他几次大规模数据泄露事件,分析背后的原因,给出解决这类安全问题的技术手段和方法。

数据泄露介绍以及历史回顾

类似于 Equifax 这样的大规模数据泄露事件在互联网时代时不时地会发生。上一次如此大规模的数据泄露事件主角应该是雅虎。
继 2013 年大规模数据泄露之后,雅虎在 2014 年又遭遇攻击,泄露出 5 亿用户的密码,直到 2016 年有人在黑市公开交易这些数据时才为大众所知。雅虎股价在事件爆出的第二天就下跌了 2.4%。而此次 Equifax 的股价下跌超过 30%,市值缩水约 53 亿。这让各大企业不得不警惕。
类似的,LinkedIn 在 2012 年也泄露了 6500 万用户名和密码。事件发生后,LinkedIn 为了亡羊补牢,及时阻止被黑账户的登录,强制被黑用户修改密码,并改进了登录措施,从单步认证增强为带短信验证的两步认证。
国内也有类似的事件。2014 年携程网安全支付日志存在漏洞,导致大量用户信息如姓名、身份证号、银行卡类别、银行卡号、银行卡 CVV 码等信息泄露。这意味着,一旦这些信息被黑客窃取,在网络上盗刷银行卡消费将易如反掌。
如果说网络运维安全是一道防线,那么社会工程学攻击则可能攻破另一道防线——人。2011 年,RSA 公司声称他们被一种复杂的网络攻击所侵害,起因是有两个小组的员工收到一些钓鱼邮件。邮件的附件是带有恶意代码的 Excel 文件。
当一个 RSA 员工打开该 Excel 文件时,恶意代码攻破了 Adobe Flash 中的一个漏洞。该漏洞让黑客能用 Poison Ivy 远程管理工具来取得对机器的管理权,并访问 RSA 内网中的服务器。这次攻击主要威胁的是 SecurID 系统,最终导致了其母公司 EMC 花费 6630 万美元来调查、加固系统,并最终召回和重新分发了 30000 家企业客户的 SecurID 卡片。

数据泄露攻击

以这些公司为例,我们来看看这些攻击是怎样实现的。
取消
完成
0/1000字
划线
笔记
复制
© 版权归极客邦科技所有,未经许可不得传播售卖。 页面已增加防盗追踪,如有侵权极客邦将依法追究其法律责任。
该试读文章来自付费专栏《左耳听风》,如需阅读全部文章,
请订阅文章所属专栏。
立即订阅
登录 后留言

精选留言(38)

  • 匹诺曹
    见识立刻涨了。“前人的思考,我们的阶梯”,才199,真是太值了。
    2017-10-21
    1
    69
  • AlphaZero
    安全事故常用。我前同事与他人一起成立了针对计算机网络安全的保险公司。
    2017-10-17
    14
  • 夏洛克的救赎
    当黑客的投入和收益大大不相符时,黑客也就失去了入侵的意义。

    这句话一语道破真谛,一切行为都可以看做商业行为,用商业思维和方式解决。
    2018-06-08
    13
  • 陈斌
    皓哥,有个文章中的细节问题想问您。您提到的密钥自动更换机制,“在外部系统调用 100 次或是第一个小时后就自动更换加密的密钥”,在更换后怎么处理旧密钥加密的数据呢?全部解密然后用新密钥重新加密吗?对于后期越来越大量的数据,会不会负荷过重?如果不是我理解的方法,又是怎么处理的呢?期待您的解答,谢谢~
    2019-03-06
    12
  • 二师哥
    信息安全也是商业问题,
    如果攻击成本高于收获成本,那么攻击者的行为便毫无意义。
    如果赔偿成本低于安全成本,那么又何必浪费更多的资源和成本。
    没有完全安全的系统,却可以有不断追求成功的解决方案!
    2018-06-15
    8
  • ken
    其实在安全这一块,非常多的大公司都做得不好。有个特别简单的列子,app端输出的api接口尽然暴漏用户的手机号信息和其他信息,我光是通过接口就获取到用户所有信息了,并且接口没有做当前用户认证,修改一个参数就可以访问其他用户信息。以前学习python的时候抓取过很多有名公司的信息,所以我在做自己公司项目的时候在这些方面都做了严格校验处理。
    2019-05-07
    5
  • missa
    提高安全意识,做好系统的审计,关注相关开源系统的漏洞情况,及时更新升级。把控好风险,做到风控成本小于赔偿的成本。
    2018-03-13
    5
  • 酱了个油
    各种最佳实践,赞
    2018-02-28
    5
  • 清水
    我想知道目前亚马逊,阿里做到了吗?这里不是抬杠只是咨询。新业务普遍是增长优先。这些安全要求会影响业务进度。而且项目都是有排期的。作为一线的领导怎么协调,怎么协调才好?求教。
    2019-05-24
    3
  • j0hnniang
    没有绝对安全的系统!
    2019-04-23
    3
  • 转型很痛
    我参与的项目都是,赔偿小与安全,对安全问题在实际开发中往往都不重视,公司测试都是人工一个一个功能进行点击,完全没有接触过自动化测试。
    2018-07-09
    3
  • rjava
    安全无小事,防范与未然。学习了,同时还应该增加定期的安全演练来验证一系列的防护
    2017-12-27
    3
  • 尽人事
    有段时间最喜欢看的一部电影就是《没有绝对安全的系统》是一个黑客组织的故事。我认为主线思路是从内部和外部出发的。
    内部:
    第一,提升内部人员安全意识,规范内部人员使用数据权限。
    第二,提升内部数据安全技术实力。
    第三,内部人员模仿外部黑客对自己的系统进行模拟攻击,提高系统的攻防弹性,但是,要注意不能对系统造成损伤和数据破坏。

    外部:
    第一,定期跟进使用框架和版本的更新说明,对于已经发现的漏洞,短时间内迅速处理。
    第二,利用经济学思维和技术手段,提高黑客攻击成本,但是也要平衡好维护成本。

    初次阅读,只是粗浅的想到这么多,大家还有其他想法,欢迎一起讨论,我认为耗子前辈把我们聚在一起也是一种缘分大家可以一起学习一起成长。
    2019-04-01
    2
  • 哈软糖
    不同网站使用不同密码实在难以维护,想知道1password这类的密码管理软件安全不安全
    2018-07-09
    2
  • xpisme
    好想搞下公司的各种接口。
    2018-06-13
    2
  • edisonhuang
    互联网上安全和速度总是一对矛盾,在追求效率的今天我们应该逐渐建立安全机制,树立安全意识。
    因为当注重安全的时候不可避免的要加入很多权限控制,安全隔离的措施,从而在一定程度上会影响到迭代速度。由于今天国内的互联网竞争太过激烈,大家对速度的追求远胜于对安全的保护,因此导致国内未修复的安全漏洞远多于其他国家。但是安全也很重要,意识是关键
    2019-05-20
    1
  • Dimple
    以前做客户端,没有什么安全意识存在;现在做了服务端,深知安全意识很重要很重要很重要
    2019-03-29
    1
  • delete is create
    您好 我是一名java后端程序员,在公司负责一些模块,平时自己开发一些感兴趣的个人web项目,但是对于web开发中的安全问题总是考虑不周到,比如SQL注入等等,您有针对开发者的安全书籍推荐吗?
    2018-06-06
    1
  • MarksGui
    长见识了
    2018-06-03
    1
  • yunfeng
    #从Equifax信息泄露看数据安全笔记
    大意浏览全文,发现上一篇自己的留言,过于狭窄,没看到更宽的世界。此篇中提到的安全防范可以分为:安全意识和安全技术,很多时候不是技术不够,而是意识差了。
    2018-06-01
    1
收起评论
38
返回
顶部